Mirai Okiru, ELF malware compromette IoT con CPU ARC

15/01/2018

È stato battezzato Mirai Okiru il nuovo malware progettato per compromettere dispositivi IoT Linux che lavorano con processore ARC con lo scopo di dar vita ad una botnet per sferrare attacchi di tipo DDoS. A lanciare l’allarme è il ricercatore @unixfreaxjp del team di MalwareMustDie con una nota pubblica condivisa su Reddit

Odisseus, membro di MMD! con il quale il CERT-PA è in costante contatto per monitorare le evoluzioni della botnet Mirai, dichiara che «c’è da aspettarsi un incremento di compromissioni» poichè «la detection è bassa» e al momento i sample individuati non vengono riconosciuti dalla maggior parte delle firme antivirus. Nel momento in cui scriviamo il primo sample ha una Detection ratio di 4/59.

A fare il punto della situazione ci ha pensato Pierluigi Paganini sul sito Securityaffairs con il risultato che 20 minuti dopo la pubblicazione della news il dominio è stato oggetto di un massiccio attacco DDoS che ne ha inibito l’accesso per circa un’ora.

I ricercatori MMD! che hanno già provveduto a rilasciare le regole Yara per individuare questa nuova variante di Mirai, hanno messo a confronto Okiru con la precedente botnet Mirai denominata Satori. Secondo quanto emerge dalle osservazioni dei ricercatori, la configurazione di Okiru è cifrata in due parti e l’attacco via Telnet risulta essere decisamente più incisivo visto che sfrutta una lista di oltre 100 credenziali (114 sono le credenziali conteggiate da MMD!).

Inoltre, ben quattro tipologie di exploit per attacco a router sono stati individuati per la variante Okiru, nessuno dei quali risulta essere stato utilizzato da Satori.

Regole Yara

  • MD5: 9c677dd17279a43325556ec5662feba0
  • MD5: 24fc15a4672680d92af7edb2c3b2e957
Le analisi sono ancora in corso, il CERT-PA emetterà bollettino dettagliato con nuovi IoC non appena disponibili.